ZBC Kennisbank

Elf geboden voor informatiebeveiliging volgens het Jericho Forum

 

Inhoudsopgave

  1. Biedt uw beveiliging ook alleen maar schijnzekerheid?
  2. Wie en wat is het Jericho Forum?
  3. Jericho 2.0: 11 geboden voor informatiebeveiliging
  4. 100 procent waarheid bestaat ook niet 

1. Biedt uw beveiliging ook alleen maar schijnzekerheid?

Informatiebeveiliging dreigt steeds meer af te glijden naar een facade in plaats van dat het serieuze bescherming biedt. Dit komt niet door een gebrek aan awareness bij het management, maar juist doordat professionele informatiebeveiligers niet durven toegeven dat volledige beveiliging niet bestaat. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Dit verschijnsel is niet nieuw. Reeds in de Oudheid (bijvoorbeeld in het Bijbelse Jericho) bouwde men al muren om steden om zich te beschermen tegen boeven, vijanden en andere lieden die het voorzien hadden op schatten, vrouwen en kinderen. En dat ging goed zolang de poort maar gesloten kon blijven. Zodra er echter verkeer mogelijk was tussen de binnenkant en de buitenkant van de muur was 100 % beveiliging een illusie. De beveiliging kan er dan wel heel imposant uitzien, maar dient in feite geen ander doel dan de bestuurders van de stad een gezonde nachtrust te schenken. Beveiliging van nu lijkt hier sterk op.
Het Jericho Forum heeft deze problematiek onderkend en tracht hiervoor oplossingen aan te dragen. In het artikel ‘Eerlijk zijn over informatiebeveiliging’ gaan we dieper in op dit concept. In dit artikel laten we de 11 geboden van het forum de revue passeren met een toelichting van Ron van Tolido (fervent voorstander) en Rob van der Staaij (criticaster). 

2. Wie en wat is het Jericho Forum?

Wikipedia schrijft over het Jericho Forum: Het is een internationale denktank op het gebied van Informatiebeveiliging, die zich buigt over nieuwe beveiligingsconcepten. Het forum is opgericht op 16 januari 2004.
Het meest pregnante concept is dat van deperimeterisation, het uitgangspunt dat informatie niet beveiligd kan worden door haar veilig af te schermen door het gebruik van firewalls en dmz’s, maar dat informatie beveiligd dient te worden op het niveau van de gegevenselementen zelf.
Door het toenemende gebruik van internet als transportmechanisme, zowel door individuen als organisaties, en door de toenemende integratie van processen en ketens van processen tussen organisaties is het niet praktisch om gegevens aan de buitengrens van de organisaties af te schermen. Ketenpartners zoeken niet meer toegang tot een server, maar willen via onder meer webservices, toegang tot individuele data-elementen. Het afschermen van een hele server of een heel netwerksegment (de traditionele perimeterbescherming) is te grofmazig en kan niet voorzien in de nieuwe behoefte.
Jericho 2.0 gaat uit van de volgende beveiligingsmaatregelen:

  • encryptie/versleuteling,
  • inherent veilige computerprotocollen,
  • inherent veilige computersystemen,
  • authenticatie op gegevensniveau.

Het concept van deperimeterisatie is nog geen algemeen geaccepteerd principe, zoals u in het vervolg van dit artikel kunt lezen. 

3. Jericho 2.0: 11 geboden voor informatiebeveiliging

Deperimeterisation beschrijft wat je kunt doen om de informatie van de organisatie te beveiligen, terwijl tegelijkertijd de buitenste omheining (de ‘perimeter’) wordt weggehaald. Het doet het zeer grondige werk van het forum tekort, maar als we de managementsamenvatting van ‘Jericho Style Security for Dummies’ zouden moeten schrijven, dan zouden we het hebben over een mix van integrale encryptie, protocollen en hardwareverbindingen die impliciet veilig zijn, federatief identiteitsmanagement, digital rights management en – vooral – sterke authenticatie op het niveau van individuele gegevenselementen.
Letterlijk alles wat informatie bevat wordt met elkaar verbonden en het succes van veel organisaties hangt af van het vermogen om zonder belemmeringen gegevens uit te wisselen met de buitenwereld. Voor beveiligingsexperts is dat een ijzingwekkende nachtmerrie, vooral als ze hun strategieën hebben opgehangen aan het idee van een ondoordringbare omheining (een ‘perimeter’) om de bedrijfsvoering heen. Die omheining blijkt namelijk steeds poreuzer te worden, met dank aan de openheid van het internet, mobiele apparaten, iPods en USB-sticks.
Wen er maar aan, is de boodschap van het Jericho Forum, de enige weg is die van ‘de-perimeterisation’: het inrichten van beveiliging zonder de gebruikelijke beschermingslagen naar de buitenwereld. Dat dit geen paradox is, bewijzen de elf geboden van het forum, die handvatten bieden om de lagen één voor één af te pellen.
Onderstaande vertaling van de 11 geboden in de paragraaftitels en de toelichting erbij zijn van Ron van Tolido. In cursief vindt u telkens de vertaling en de kanttekeningen van Rob van der Staaij.

3.1 Gij zult uw beschermingsmaatregelen zoveel als mogelijk toesnijden op de feitelijke entiteit die risico loopt

Dit gebod vormt de basis van de ‘de-perimeterised’ visie. Waar de bedrijfsvoering van een beveiligingsstrategie niet alleen lage kosten vraagt, maar ook een hoge mate van flexibiliteit verlangt, voldoet de ‘one size fits all’-benadering van firewalls niet langer. Dat geldt ook voor in beton gegoten procedures en de eis dat alleen van computers gebruik mag worden gemaakt binnen de vertrouwde omheining van het kantoor. Individuele systemen, services en zelfs data-elementen moeten daarom zichzelf kunnen beschermen. Dat geeft alle flexibiliteit die nodig is. Voorts is een object veel eenvoudiger te beschermen als de beveiliging dichterbij is opgetrokken.

De scope en de mate van bescherming dienen specifiek te worden afgestemd op het object dat risico loop.

Dit is het beruchte firewallgebod van het forum. Firewalls zouden te ver van individuele systemen en gegevens af staan en daarom slechts basisnetwerkbescherming bieden. Niemand heeft ooit beweerd dat firewalls in hun eentje in staat zouden zijn afdoende bescherming te bieden. Die firewall is altijd al – door iedere weldenkende beveiligingsprofessional – beschouwd als aanvullend beveiligingsmechanisme waarachter je nog andere securitytechnieken nodig hebt. Maar hoe je het ook wendt of keert, daarvan heb je er minder nodig wanneer er een firewall voor staat.

3.2 Gij zult uw beveiligingsmechanismen zo uitvoeren dat ze transparant, simpel, schaalbaar en makkelijk te beheren zijn

Eén van de grootste vijanden van beveiliging is te veel complexiteit, een mistig gebied waarin menig beveiligingsexpert – in diens streven naar compleetheid – verdwaalt. Beveiliging moet daarom een integraal onderdeel vormen van alle lagen van de oplossingsarchitectuur, niet als iets dat je van incident tot incident, van probleem tot probleem blijft opjagen. Het opstellen en doorvoeren van beveiligingsprincipes en -patronen helpt daarbij. Om dezelfde redenen moeten beveiligingsmechanismen onbeperkt schaalbaar zijn: ze moeten zowel voor het kleinste als het grootste object werken. De principes van serviceoriëntatie moeten ook worden toegepast op beveiliging: simpelheid en schaalbaarheid worden gediend met inter-operabele bouwblokken die makkelijk kunnen worden gecombineerd.

Beveiligingsmechanismen moeten alomtegenwoordig, simpel, schaalbaar en gemakkelijk te beheren zijn

Toen ik – jaren geleden – trots mijn allereerste ontwerpdocument met de F10-toets in WordPerfect dacht te vereeuwigen, stonden ergens daarin de requirements ‘flexibility, scalability and manageability’ gecodificeerd. Die slogan kwam ik indertijd in nog tientallen andere architectuurdocumenten tegen, evenals ‘keep it short and simple’ (KISS). Het zijn niet anders dan oneliners.
 

3.3 Gij zult nimmer een vaste context veronderstellen

Beveiligingsoplossingen die in de ene situatie goed werken, kunnen in een andere zo lek als een mandje zijn. Zo is het heel goed mogelijk dat dezelfde gebruiker vanuit wisselende rollen zeer verschillende eisen stelt aan authenticatie en autorisatie. En protocollen die volstrekt veilig zijn zolang ze maar tussen de verschillende componenten van een ERP-pakket worden gebruikt, kunnen onbruikbaar zijn als contact moet worden gemaakt met een extern systeem. Bij het ontwerpen van beveiligingsoplossingen moet daarom scherp worden gelet op de beperkingen en risico’s die kunnen optreden als de context verandert.

Houd rekening met de context

Een securityoplossing voor één omgeving kan niet zonder meer op andere omgevingen worden toegepast. Ook moet rekening worden gehouden met omgevingsfactoren van bijvoorbeeld juridische, geografische en technische aard. Voor het computernetwerkje van schaatsclub De Vrolijke Viking is het waarschijnlijk minder zinvol om een oplossing voor federated identity te implementeren. Is men toch eigenwijs, dan moet men niet vergeten even de Wet bescherming persoonsgegevens te raadplegen voordat de gegevens van de schaatsbusinesspartners in een repository worden opgeslagen.

3.4 Apparaten en toepassingen zullen communiceren via open, veilige protocollen

Bedrijven die communiceren via het internet lopen gevaar, omdat veel van de oorspronkelijke protocollen die worden gebruikt onveilig zijn. Als apparaten en applicaties alleen gegevens kunnen uitwisselen via expliciet veilige protocollen – waarin alle benodigde voorzieningen zijn ingebouwd rond bijvoorbeeld authenticatie, autorisatie en vertrouwelijkheid – kunnen de netwerkpoorten vrolijk worden opengezet. Dataverkeer dat is gebaseerd op niet erkende protocollen wordt dan eenvoudigweg genegeerd. De nieuwe, veilige protocollen kunnen uitsluitend een succes worden als ze breed worden geaccepteerd als een standaard. Daarom dringt het Jericho Forum er bij leveranciers op aan om hun protocollen publiek en open te maken. Of nog specifieker: maak er maar open source van of verbind er op zijn minst een GPL (‘General Public License’) aan. Als voorbeelden van protocollen die nu al open en veilig zijn, noemt het forum onder andere Kerberos, AS2 en SSH.

Systemen en applicaties moeten communiceren door middel van open en veilige protocollen

Dit gebod illustreert dat onze generatie echte de-perimeterisation in ieder geval niet meer zal meemaken. Want voordat leverancierspecifieke en onveilige communicatieprotocollen uitgestorven zullen zijn, zijn we al toe aan internet 7.0 of 8.0. Bovendien moeten werkelijk potdichte authenticatieprotocollen nog worden uitgevonden, want ook de door velen – het Jericho Forum incluis – bejubelde protocollen SSH en Kerberos kennen wel degelijk zwakheden.

3.5 Alle apparaten zullen in staat zijn hun beveiligingsregels door te voeren in zelfs onbekende en niet vertrouwde netwerken

Regels die betrekking hebben op de bescherming van een object moeten altijd doorgevoerd worden, zelfs in de meest onverwachte situatie; de werking van een systeem mag niet afhangen van de juiste gecontroleerde omgeving of bij de gratie van correcte invoer. Als ‘benchmark’ wordt het overleven in het Sodom en Gomorra van het open, publieke internet gehanteerd: als een systeem daar staande blijft – zonder ervan uit te gaan dat er alleen veilige protocollen of juiste datastromen zijn – dan voldoet het aan de eisen die een ‘de-perimeterised’ wereld stelt. Een mooi voorbeeld stelde Jericho Forumlid BP vorig jaar, door 16.000 laptops rechtstreeks te verbinden met het ‘rauwe’ internet in plaats van via het beveiligde LAN: een ware schok voor veel traditioneel ingestelde beveiligingsexperts.

Alle systemen moeten in staat zijn om in een onveilig netwerk hun beveiligingsprincipes in stand te houden

Volgens het forum moet de beveiliging van een computer zelfs in ‘the raw internet’ overeind kunnen blijven. Mijn thuis-pc hangt bij voortduring in dat rauwe internet. Ook met mijn laptop wroet ik geregeld in het virtuele hellevuur. Op beide apparaten heb ik een stapeltje securitymechanismen geïmplementeerd, zoals encryptie, antivirussoftware en een personal firewall, waarmee zowel mijn pc als laptop het aardig blijkt uit te houden in de cybergifpoel. Maar dat wil nog niet zeggen dat organisaties hetzelfde kunnen doen. Bedrijfskritische systemen hebben vaak een veel complexere configuratie en lang niet altijd een huis-tuin-enkeukenbesturingssysteem.
Die zijn dus moeilijker te beveiligen, om over de kosten daarvan
nog maar te zwijgen.

3.6 Zowel mensen, processen als technologie zullen beschikken over duidelijk beschreven, transparante niveaus van vertrouwen bij het uitvoeren van transacties

Om succesvol via het netwerk samen te werken is vertrouwen een voorwaarde. In een zakelijke omgeving manifesteert vertrouwen zich vooral via contracten (waarin de gevraagde en geleverde prestatie wordt vastgelegd) en een mechanisme dat naleving afdwingt (in de vorm van straffen en de ontmoediging van wanprestaties). Helaas gaat het vaak om dure, complexe activiteiten die nodig zijn om de identiteit van partners – en het bijbehorende niveau van vertrouwen – te registeren en te beheren. Door standaardisatie denkt het Jericho Forum tot inter-operabele modellen en technologieën voor vertrouwen te komen. Zo wordt een fundament gelegd voor veilig zakendoen via het netwerk.

Bij zowel mensen, processen als technologie moet bij elke transactie sprake zijn van ondubbelzinnig en transparant vertrouwen

Vertrouwen moet er altijd zijn, bij elke overeenkomst, in welke context dan ook, virtueel of aards. Dat is tegenwoordig zo en dat was ten tijde van de VOC al zo. Ook is het logisch dat er bij risicovollere transacties meer vertrouwen en meer waarborgen moeten zijn. In e-commerce omgevingen echter blijkt vertrouwen, of liever het gebrek daaraan, een groot obstakel. Het opbouwen van vertrouwen is een langzaam proces dat zich slecht verhoudt tot de haast van de elektronische snelweg.

3.7 Aan beide zijden zal het niveau van vertrouwen kunnen worden vastgesteld

Het is vooral het vermogen om aan beide zijden van een zakelijke transactie het juiste niveau van vertrouwen vast te stellen, wat bepaalt of de transactie echt zal worden uitgevoerd. Het is daarom niet vreemd dat het Jericho Forum zich buigt over open modellen en architecturen waarop wederzijds vertrouwen gebouwd kan worden. Onder de voorstellen komen we onder andere concepten tegen om reputatie-informatie uit te wisselen (bijvoorbeeld via ‘introductieprotocollen’ waarbij de ene partij een andere partij kan aanbevelen bij een derde partij). Ook zijn er voorstellen voor het beheren van contracten – en voor het uitbesteden daarvan aan een ‘trust broker’ – en is er veel belangstelling voor contractmodellen (zoals de ERights Smart Contracts) en programmeertalen zoals ‘E’ die speciaal gemaakt zijn voor het ondersteunen van contracten.

Vertrouwen moet wederzijds bepaald kunnen worden

Voortbordurend op het vorige gebod concludeert het forum dat er in e-commerce omgevingen mechanismen voorhanden moeten zijn voor het vaststellen van vertrouwen en het vastleggen van overeenkomsten.
Daarbij wordt goeddeels voorbijgegaan aan het feit dat er achter elke e-commerceomgeving mensen van vlees en bloed schuilgaan. In marktplaatsachtige omgevingen hoeft men de andere partij niet per se persoonlijk te kennen. Maar in echt risicovolle e-commerce constellaties zien we dat het verkrijgen van het eerste vertrouwen en de eerste overeenkomsten bijna altijd gewoon ‘live’ plaatsvinden.
Een relatie van mij verkoopt online Chinese koelkasten. Daarvoor is hij afgereisd naar China om persoonlijk kennis te maken met de directeur van de koelkastenfabriek. Informatie over diens reputatie heeft hij voornamelijk op de oude, vertrouwde wijze ingewonnen: via enkele telefoontjes. Toen het tenslotte tot wederzijds vertrouwen kwam, hebben beiden gewoon een papieren overeenkomst ondertekend.

3.8 Gij zult authenticatie, autorisatie en verantwoordelijkheid zo vormgeven dat ze ook ver buiten uw eigen terreinen kunnen worden herkend en uitgewisseld

Zonder authenticatie gebeurt er niets in het omheiningloze netwerk: als de identiteit van een persoon – een systeem of apparaat – niet ondubbelzinnig kan worden vastgesteld, is er geen basis voor de ideeën van het Jericho Forum. Leveranciers hebben al werk gemaakt van systemen voor ‘Federated Identity’, waarbij organisaties die willen samenwerken voorzieningen delen voor authenticatie. Maar die zijn nog vaak complex en gesloten. Ook vereisen ze niet zelden de tussenkomst van een derde partij en zijn er geen voorzieningen voor de snel wisselende niveaus van vertrouwen die er tussen organisaties nodig zijn. Het forum doet een pleidooi voor open standaards die organisaties in staat stellen informatie over authenticatie en autorisatie ‘peer to peer’ uit te wisselen, zonder tussenkomst van een derde partij. Ook wordt aandacht besteed aan het kunnen koppelen van verschillende niveaus van bevoegdheid aan dezelfde identiteit: zo kan dezelfde persoon verschillende rollen spelen, met andere bevoegdheden.

Authenticatie, autorisatie en aansprakelijkheid moeten ook buiten het eigen domein functioneren

Dit gebod refereert hoofdzakelijk aan federated identity, het concept waarbij organisaties op basis van een gezamenlijke architectuur, technologie en operationele afspraken gebruikers in staat stellen om met één set credentials diensten af te nemen. Digitale identiteitsportefeuilles, zoals Microsoft CardSpace en OpenID, zijn vergelijkbaar, maar zijn meer gebruikersgericht. Beide ontwikkelingen blijken maar moeizaam van de grond te komen, precies door het gebrek aan vertrouwen dat juist een fundament is van de beoogde ‘de-perimeterised’-wereld.

3.9 De toegang tot data zal uitsluitend worden beheerd via de eigen beveiligingsattributen van de data

Hier hebben we de meest bekende stelling van het forum te pakken. Als de toegang tot data tot op het meest elementaire niveau – het dataobject zelf – is teruggebracht, worden alle andere voorzieningen overbodig. Het forum wijst met name op ‘Digital Rights Management’ en metadata als manieren om de beveiligingsregels rond een data-element vast te leggen in de data zelf. Voorts moeten de data – vanzelfsprekend – versleuteld worden opgeslagen. Zo kun je nog eens met goed fatsoen een USB-stick laten slingeren.

De toegang tot gegevens moet zoveel mogelijk worden gecontroleerd door gegevenseigen beveiligingsattributen

Dit vormt eigenlijk de kern van de-perimeterisation. Wanneer je de gegevens zelf beveiligt, bijvoorbeeld via versleuteling, en daar ook nog wat technieken aanhangt waarmee je kunt bepalen wie er met zijn vingers aan mag zitten, dan zijn de beveiligingsvoorzieningen verderop in de IT-infrastructuur feitelijk overbodig. Zulke oplossingen zijn er al – zij het nog lang niet uitgekristalliseerd – in de vorm van bijvoorbeeld enterprise digital rights management (EDRM).
Ik ken een bankverzekeraar die honderden bedrijfskritische systemen heeft, variërend van Unix tot mainframe. Samen hebben die systemen honderdduizenden bestanden en directories. Dacht men nu werkelijk dat die bankverzekeraar zijn firewalls en andere netwerkbeveiligingsmechanismen bij het grof vuil gaat zetten om al die honderdduizenden bestanden en directories afzonderlijk op slot te draaien?
EDRM-oplossingen zijn meer van toepassing op gegevens die gedeeld worden en daarbij wel eens – binnen of buiten de deur – een ommetje maken, bijvoorbeeld in proces- en workflowomgevingen, of via e-mail of een USB-stick.

3.10 Gij zult beveiliging en dataprivacy waarborgen door een strikte scheiding van functies en privileges

In een vrij laat stadium van het opstellen van de geboden realiseerde het Jericho Forum zich dat de hele beveiligingsketen van vertrouwen, identiteit en autorisatie in gevaar komt als er een zwakke schakel aan de basis van de keten zit. Daarom ontstond alsnog dit gebod, dat een duidelijke voorkeur uitspreekt voor het instellen van een onafhankelijke controle over bevoegdheden, sleutels, privileges en dergelijke.

Het waarborgen van de integriteit van waardevolle gegevens en objecten vereist functiescheiding

Functiescheiding (segregation/separation of duties) houdt in dat kritische handelingen moeten worden gespreid over individuen of rollen, zodat niemand in zijn eentje iets uit kan halen. Een voorbeeld van oude wijn in nieuwe zakken, want in Circular A-123 van de U.S. Office of Management and Budgets uit 1995 lezen we al: ‘Sleutelfuncties en –verantwoordelijkheden rondom het autoriseren, uitvoeren, vastleggen en goedkeuren van overheidstransacties moeten worden gespreid over individuen.’

3.11 Gij zult data standaard afdoende beveiligen, zowel wanneer deze worden opgeslagen, als wanneer deze worden verplaatst of gebruikt

Dit gebod had aardig gecombineerd kunnen worden met gebod negen. Er wordt immers niet veel meer gezegd dan dat het afwijken van de standaardmanier van beveiligen een bewuste handeling moet zijn. Dat is een nuttige omkering van wat tot nu toe gebruikelijk was. Verder is er de toevoeging met betrekking tot de term ‘afdoende’: het Jericho Forum benadrukt in zijn finale gebod dat er – afhankelijk van de situatie – verschillende niveaus van beveiliging denkbaar zijn. En er is genoeg informatie die helemaal geen beveiliging vereist. Een relativerende gedachte in een wereld waarin geen muur meer overeind lijkt te blijven staan.

Gegevens moeten bij opslag, transport en gebruik standaard afdoende worden beveiligd

Toen de leden van het forum dit gebod – dat wel heel erg overlapt met gebod negen – opschreven, moeten ze hebben gedacht aan al die persberichten over defensie- en geheimedienstmedewerkers die USB-sticks met gevoelige informatie hebben laten rondslingeren in stomerijen, huurauto’s en bordelen. Een zich herhalend verschijnsel, want in de diskettetijd gebeurde precies hetzelfde. Encryptie is hiervoor een oplossing, maar mensen moeten ook gewoon op hun spullen letten. 

4. 100 procent waarheid bestaat ook niet

Net zomin als 100% beveiliging bestaat, zo bestaat een absolute waarheid ook niet. Ron van Tolido legt perfect uit waar ons traditionele denken over informatiebeveiliging te kort schiet. Informatiebeveiliging los je niet op met normatief denken. (Zie ook ‘Mag een auditor nog wel normatief denken?’.) Het gaat om het vinden van een optimale balans tussen risico’s en maatregelen.
Niet voor niets wordt ISO 27002 als norm voor informatiebeveiliging steeds populairder in vergelijking met het meer normatieve ISO 27001. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging?’.) Natuurlijk tot ongenoegen van de traditionele accountantsbureaus, persoonlijk gecertificeerde informatiebeveiligers en de opleidingsinstituten hiervoor. Zij kiezen voor schijnzekerheid onder het motto van veel maatregelen zorgen voor veiligheid. Het gaat echter steeds weer om het vinden van een optimum tussen risico’s en maatregelen, waarbij per definitie de mens de zwakke schakel is, die de muren van Jericho onderuit haalt. We zullen moeten beseffen dat zelfs een officier van justitie in zijn verstrooidheid zijn PC met vertrouwelijke data bij het grof vuil kan zetten. Dat zal ook Rob van der Staaij niet kunnen ontkennen.
Natuurlijk heeft Rob gelijk, dat de oplossingen weinig concreet zijn. Maar dat is inherent aan het accepteren van de probleemstelling van het Jericho Forum, dat informatiebeveiliging geen exacte wetenschap is maar steeds situationeel bepaald moet worden. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Gecertificeerde beveiligers zouden moeten beseffen dat veel van hun inspanningen slechts ten goede komen aan de nachtrust van hun opdrachtgevers of managers. Weghonen van hun criticasters lost niets op. Ook het bouwen van een nieuwe beveiligingswal helpt niet.
We leven tenslotte in een kenniseconomie en kennis en informatie moeten gebruikt en uitgewisseld worden. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.) Verlies van data is dan niet te vermijden. Je kunt heel ingewikkelde systemen van gegevensclassificatie opbouwen om dit te voorkomen, maar in de praktijk werken ze niet, want de mens is de zwakste schakel. Veel handiger is om de problematiek te bespreken met de belangrijkste producenten en distributeurs van vertrouwelijke informatie en met hen te bepalen welke informatie echt vertrouwelijk is en hoe juist deze informatie beschermd kan worden. Dit is niet waterdicht, maar draagt wel meer bij aan de beveiliging dan een papierwinkel waaraan niemand zich houdt. En het kost vooral ook veel minder. (Zie ook ‘Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS’.)

Herziene versie: 22 maart 2011
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 18 juli 2009 | Copyright: ZBC


One Response to “Elf geboden voor informatiebeveiliging volgens het Jericho Forum”

  1. Robert Hofman schreef:

    zo te lezen gaat het Jericho forum over informatiebeveiliging als geheel, maar verder lezend zowel hier als op Wikipedia gaat het forum voorbij aan het feit dat lang niet alle informatie digitaal is……

Comments are closed.